В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 22. Хранение секретов Вместо этого листок с паролем можно пропустить через машинку для уни- чтожения бумаг, хотя большинство подобных устройств измельчают бумагу на куски довольно большого размера, что позволяет сравнительно легко вос- становить содержавшийся на ней текст. 22.10.2 Магнитное хранилище Магнитные носители с большим трудом поддаются очистке. Между тем посвященная этому вопросу литература удивительно малочисленна. Лучшая работа, которая нам известна, — это статья Питера Гутманна [38], хотя ее технические аспекты, вероятно, уже устарели. Магнитные носители хранят свои данные в маленьких магнитных доме- нах. Направление намагниченности домена указывает на то, какие данные в нем закодированы. Когда данные подвергаются перезаписи, направление намагниченности домена изменяется в соответствии с новыми данными. Су- ществует, однако, несколько механизмов, которые препятствуют полной по- тере старых данных. Головка чтения/записи, которая пытается перезаписать данные, никогда не выравнивается в точности по старым данным, поэтому некоторые части старых данных остаются нетронутыми. Таким образом, пе- резапись носителя не приводит к полному уничтожению старых данных. Для большей наглядности это можно сравнить с перекрашиванием стены. Если мы покроем ее одним слоем краски, через него кое-где будет просвечивать старая краска. Вдобавок ко всему магнитные домены способны “убегать” от головки чтения/записи к краю дорожки или, наоборот, вглубь магнитного ве- щества, где могут задержаться на длительное время. В большинстве случаев перезаписанные данные нельзя восстановить с помощью обычной головки чтения/записи, но злоумышленник может украсть диск и воспользоваться специальным оборудованием, которое позволит ему частично или даже пол- ностью восстановить старую информацию. На практике лучшим способом уничтожения секретной информации, по- жалуй, является многократное перезаписывание последней с помощью слу- чайных данных. При этом следует учесть ряд моментов. • В каждой процедуре перезаписи необходимо применять новые случай- ные данные. Некоторые исследователи разработали конкретные наборы данных, которые, как предполагается, позволяют лучше уничтожить старые данные, однако выбор того или иного набора зависит от специ- фики самого носителя. Применение случайных данных для достиже- ния того же эффекта может потребовать большего количества опера- ций перезаписи, однако оно срабатывает во всех ситуациях и потому безопаснее. 22.10. Уничтожение секретов 385 • Убедитесь, что вы перезаписали именно ту область носителя, в кото- рой хранился секрет. Если вы просто измените файл, поместив в него новые данные, файловая система может сохранить его в другом месте носителя, вследствие чего исходные данные останутся нетронутыми. • Убедитесь, что в ходе каждой операции перезаписи новые данные дей- ствительно записываются на диск, а не в один из его кэшей. Особую опасность в этом отношении представляют жесткие диски, имеющие собственные кэши записи, так как они могут кэшировать новые дан- ные, чтобы объединить многочисленные операции перезаписи в одну. • Очистке должны подвергнуться и те области носителя, которые нахо- дятся непосредственно перед секретными данными, а также непосред- ственно после них. Поскольку скорость вращения диска никогда не бы- вает абсолютно постоянной, место расположения новых данных не будет в точности совпадать с местом расположения старых. Нам не известны надежные оценки того, сколько операций перезаписи требуется для полного уничтожения старых данных, однако мы не видим при- чин ограничиваться небольшим количеством подобных операций. Все, что от нас требуется, — это уничтожить один-единственный ключ. (Если у вас есть большое количество секретных данных, храните их зашифрованными с по- мощью некоторого ключа и уничтожайте только этот ключ.) На наш взгляд, вполне разумно выполнить 50 или 100 операций перезаписи с использованием случайных данных. Теоретически магнитную ленту или диск можно очистить с помощью раз- магничивающего устройства. К сожалению, современные магнитные носите- ли с высокой плотностью записи не поддаются размагничиванию в той сте- пени, которая обеспечивает гарантированное уничтожение данных. Впрочем, на практике у пользователей нет доступа к размагничивающим устройствам, поэтому такого вопроса не возникает. Даже при многократном перезаписывании данных следует ожидать, что высококвалифицированный и хорошо оснащенный злоумышленник сможет восстановить секретную информацию, которая когда-то хранилась на маг- нитном носителе. Чтобы полностью уничтожить данные, вам, вероятно, при- дется уничтожить и сам носитель. Если магнитный слой носителя заключен в пластиковый корпус (как в дискете или кассете), вы можете измельчить и затем сжечь магнитный носитель. Если же речь идет о жестком диске, по- пробуйте воспользоваться шлифовальным станком, чтобы удалить с пластин магнитный слой, или же с помощью паяльника переплавить пластины на жидкий металл. На практике вы вряд ли убедите пользователей прибегнуть к таким радикальным мерам, поэтому лучшим практическим решением было и остается многократное перезаписывание. |